Die Vernetzung von Industrieunternehmen über die Grenzen der eigenen Netzwerke hinaus ist das Kernelement des Schlagworts „Industrie 4.0“. IT-Sicherheitsexperten und Behörden realisieren mittlerweile, dass daraus neue Sicherheitsrisiken entstehen. So warnt das Bundeskriminalamt (BKA) vor Sabotage und anderen Cyberangriffen, die zum kompletten Produktionsstillstand führen können.

Trotzdem ist der Schritt zur digital gesteuerten Produktion unausweichlich, da Organisationen bei mangelnder Anpassung an Konkurrenzfähigkeit verlieren. Viele Unternehmen haben bereits seit Jahren Insellösungen mit digitalen Industrial Control Systems (ICS) im Einsatz. Diese entwickeln sich aber zunehmend zum Sicherheitsrisiko, da Netzwerke und IT-Systeme sich verändert haben und Steuerungssysteme wie SCADA heutzutage stärker vernetzt sind als ursprünglich geplant.

Das Bundesamt für Informationssicherheit (BSI) führt jedes Jahr eine Analyse der größten IT-Bedrohungen in der Produktion durch. 2016 stellt das BSI in seinem Bericht fest, dass die Betreiber sich angesichts einer zunehmenden Häufigkeit von Vorfällen und neu entdeckten Schwachstellen dringend dieser Thematik annehmen müssen. Auch sollte man das Risiko und Schadenspotenzial sowohl von nicht-zielgerichteter Schadsoftware als auch von gezielten, qualitativ hochwertigen und mit signifikantem Aufwand durchgeführten spezifischen Angriffen gegen ICS-Infrastrukturen berücksichtigen, so das BSI.

Dabei gibt es zwei Problemherde: Einerseits kommunizieren Maschinen untereinander, ohne das menschliche Interaktion die Prozesse verwalten kann. Andererseits ist M2M-Kommunikation eine neue technische Herausforderung, die entsprechende Sicherheitslösungen braucht. Dazu kommt zusätzlich das organisatorische Problem, dass sich Büro- und Produktionsnetzwerke vermischen. Gefordert ist hier eine strategische Entscheidung, wie man diese trennt, bevor man entsprechende Technologien einsetzt.

ICS-Sicherheit richtig angehen

Ehe man sich jedoch über Abwehrmechanismen und Strategien Gedanken macht, sollte man die grundlegenden Bedingungen verstehen. Zwar haben die eingesetzten Bauteile und Netzwerke bestimmte Komponenten aus Office-Umgebungen übernommen, trotzdem gelten schwierigere physikalische Anforderungen. Hierbei gilt es Faktoren wie Temperatur, Wartungsmöglichkeiten, Staub- und Schmutzbelastung zu beachten. Das bedeutet, dass jede eingesetzte Hardware entsprechend robust ausgelegt sein muss.

Vielen Organisationen ist es zu empfehlen, die eigenen Sicherungssysteme durch unabhängige Experten prüfen zu lassen. Bild: Check Point

Eine Möglichkeit, seine Anlagen zu schützen, ist eine richtige Segmentierung der Netzwerke. Das heißt, dass man Büro- und Produktionsnetzwerke über alle Bereiche hinweg trennt, damit Schädlinge sich nicht auf alle Bereiche ausbreiten und weitere Clients befallen können. Durch eine strikte Segmentierung kommt man solchen gravierenden Infektionen zuvor.

Grundsätzlich gilt es hierbei zu berücksichtigen, dass es sich bei Advanced Persistent Threats (APTs) um hochentwickelte Angriffsmethoden handelt, die Schwachstellen in Netzwerken ausnutzen und auch gezielt Insellösungen befallen können, auch wenn diese nicht direkt mit dem Internet verbunden sind. Deshalb müssen Verantwortliche sämtliche Zugangswege verwalten. USB-Ports und Wartungszugänge sind Beispiele, die es entweder zu sperren gilt oder deren Nutzung man genau protokollieren sollte.

Direkte Internetverbindungen sind ebenfalls kritisch, da sich über entsprechende Suchmaschinen wie Shodan (shodan.io) die IP-Adressen smarter Produktionsanlagen einfach im Internet finden lassen. Dabei sind integrierte Sicherheitsmechanismen auf den Anlagen oft nur unzureichend oder gar nicht vorhanden. Daher sollten Betreiber direkte Verbindungen unterbrechen oder, falls für den Betrieb unbedingt nötig, eine dezidierte Sicherung einbauen.

Das ICS-CERT rät Unternehmen, ihre Maschinen auf Sicherheitslücken zu überprüfen. Betreiber können die eigenen Geräte selbst mit Shodan und Eripp suchen. Häufig finden sich dabei Endpunkte, die man ursprünglich noch gar nicht auf dem Schirm hatte. Grundsätzlich sollte man nur Maschinen an das Internet anschließen, wenn diese Verbindung absolut notwendig ist und wenn man diese durch eine Firewall und mit starken Passwörtern schützt. Für viele Organisationen ergibt es zudem Sinn, die eigenen Sicherungssysteme durch unabhängige Experten prüfen zu lassen.

Besonders Industrieanlagen erlauben in der Regel keine aktiven Scans und regelmäßige Software-Updates, da dies den Produktionsablauf stört. Daher sollte man einzelne Bereiche genau beobachten. Hierzu zählen beispielsweise die Rechner, die direkten Zugriff auf die Steuerungssysteme haben. Eine entsprechende Härtung und Wartung der Systeme ist ebenso Pflicht wie die Implementierung organisatorischer Maßnahmen beim Zugriff auf Endpunkte. Neben der eigenen Belegschaft brauchen schließlich auch Dienstleister und freie Mitarbeiter die nötigen Zugriffsrechte, teilweise auch aus der Ferne – ein Aspekt, den man bei der Sicherung nicht außer Acht lassen darf.

Technologische Herausforderung meistern

Um Sicherheitsmechanismen und Empfehlungen richtig umzusetzen, müssen die Betreiber sämtliche Endpunkte als Teil der IT wahrnehmen. Häufig haben Unternehmen Probleme bei der Unterscheidung von IT und OT. Die Verantwortung für Anlagen läuft dabei unter dem Begriff „Safety“ und bezieht sich hauptsächlich auf die physikalische Sicherung von Maschinen. Daher ist es dringend notwendig, entsprechendes IT-Know-how in die richtigen Bereiche einzubringen. Speziell bei der M2M-Kommunikation gerät die Lage sonst schnell außer Kontrolle, da eine große Menge Aktionen ohne menschliche Einwirkung vonstatten gehen.

Direkte Internetverbindungen sind kritisch, da sich über entsprechende Suchmaschinen wie Shodan die IP-Adressen von smarten Produktionsanlagen einfach im Internet finden lassen. Bild: Check Point

Wichtig sind hierbei Mechanismen auf Netzwerkebene: Es gibt viele ICS-Protokolle, die sich nur mit entsprechenden Speziallösungen absichern lassen. Gängige Protokolle sind beispielweise Modbus, IEC 60870-5-104, DNP3 und viele mehr. Einige setzt man in beiden Umgebungen ein.

Eine gute Quelle für weitere Informationen ist die Normreihe IEC 62443 zur IT-Sicherheit in industriellen Automatisierungssystemen und kritischen Infrastrukturen sowie die Richtlinie VDI/VDE 2182. Sie beschreiben, wie sich Informationssicherheit von automatisierten Maschinen und Anlagen in der Praxis umsetzen lässt.

Fazit

Produktion und Fertigung befinden sich im digitalen Wandel. Das Potenzial ist enorm, doch es entstehen auch Risiken. Die Sicherheit von Produktionsanlagen lässt sich erhöhen, allerdings muss die Branche offener für den Einsatz von entsprechenden Sicherheitslösungen sein. Dabei gibt es kein Pauschalkonzept.

Jedoch sollte man technische Maßnahmen zusammen mit strukturellen Maßnahmen umsetzen, um Compliance mit den relevanten Sicherheitsstandards zu kombinieren. Dazu gehören unter anderem die Segmentierung der nach gemeinsamen Sicherheitsanforderungen zusammengefassten Netzwerke und Hosts, die Durchsetzung des Prinzips der geringsten Rechte bei vollständiger Protokollprüfung sowie die Sicherung von Daten auf dem Weg zwischen Segmenten mit VPNs und die Sicherung des Fernzugriffs auf das Steuerungsnetzwerk mittels Mehr-Faktor-Authentifizierung.

Es gibt bereits Lösungen für Applikationssteuerungen, die SCADA-Befehle verstehen und sich in bestehende Anlagen integrieren lassen. Diese ermöglichen dadurch eine granulare Sichtbarkeit und Logging von spezialisierten Protokollen. Mithilfe von IPS/IDS-dedizierten ICS-Signaturen lassen sich zudem virtuelle Patches installieren, um auch in SCADA-Umgebungen Schwachstellen zu schließen, ohne aktiv in Produktionsprozesse eingreifen zu müssen.

Dadurch kann man die Sicherheit des Perimeters und der Schnittstellen gewährleisten. Port-Kontrolle erlaubt den Schutz von IT- und OT-Netzwerken, Operator-Workstations und SCADA-Geräten sowie allen Endpunkten, die dazwischenliegen.

Mirco Kloss ist Sales Manager Threat Prevention CE bei Check Point ().